问题:域环境下如何禁用USB口设备?
第一种:用传统的办法,在Bios中禁用USB。
第二种:
微软技术支持回答:根据您的需求, Windows识别USB设备主要通过两个文件,一个是Usbstor.pnf、另外一个是Usbstor.inf,当在电脑第一次使用USB设备之前禁用这两个文件即可达到我们的目标。
1、打开Active Directory用户和计算机;
2、选择需要禁用USB设备的OU,并点击鼠标右键进行组策略;
3、创建一个针对USB的GPO,并点击编辑,打开组策略编辑器;
4、进入组策略编辑器,依次展开“计算机配置”、“Windows设置”、“安全设置“、”文件系统”;
5、右键点击“添加文件”,弹出“添加文件和文件夹”,在“文件夹”栏输入“%systemroot%\inf\usbstor.inf“,确定;您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1
6、在“数据库安全设置”中,删除所有的用户,并添加“Everyone”,去掉默认的允许“读取和执行”、“列出文件夹内容”、“读取”,添加拒绝“完全控制”;应用、确定;
7、“添加对象”窗口,默认当前设置,若要重新编辑安全权限,则可点击“编辑安全设置”进行重新设置;确认,退出设置;
8、除此之外,重复5、6、7步,对“%systemroot%\inf\usbstor.PNF“进行设置;
9、关闭组策略编辑器;
10、使用“gpupdate /force”,强行刷新策略。
以上方法只能针对还没有使用过USB的计算机才能生效,若企业中的部分计算机已经使用过U盘等设备,那还需要修改注册表来达到目的。需要修改的注册表键值位于:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsbStor
Windows 2000下,键值在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\usbhub,
打开上面注册表位置,我们可以看到start的键值,需要将该键值修改为4,默认情况下为3(3表示手动、2表示自动、4表示停用),若要使用组策略来部署,需要使用脚本来加以运行即可。
另外,下面的微软文档也提供了相关信息:
823732:如何禁用 USB 存储设备
http://support.microsoft.com/kb/823732/zh-cn
赵莹(Ken Zhao) 微软全球技术支持中心